Da asporto chiave
- Gli hacker hanno pubblicato un codice che rivela un exploit in una libreria di registrazione Java ampiamente utilizzata.
- Gli investigatori della sicurezza informatica hanno notato scansioni di massa sul Web alla ricerca di server e servizi sfruttabili.
-
La Cybersecurity and Infrastructure Security Agency (CISA) ha esortato fornitori e utenti ad aggiornare con urgenza il proprio software e i propri servizi.
Il panorama della sicurezza informatica è in fiamme a causa di una vulnerabilità facilmente sfruttabile in una popolare libreria di registrazione Java, Log4j. È utilizzato da tutti i software e servizi più diffusi e forse ha già iniziato a interessare gli utenti di desktop e smartphone di tutti i giorni.
Gli esperti di sicurezza informatica stanno vedendo un'ampia varietà di casi d'uso per l'exploit Log4j che stanno già iniziando ad apparire sul Dark Web, che vanno dallo sfruttamento dei server Minecraft a problemi di più alto profilo che ritengono possano potenzialmente influenzare Apple iCloud.
"Questa vulnerabilità di Log4j ha un effetto a cascata, che ha un impatto su tutti i grandi fornitori di software che potrebbero utilizzare questo componente come parte del pacchetto delle loro applicazioni", ha detto a Lifewire via e-mail John Hammond, Senior Security Researcher di Huntress. "La comunità della sicurezza ha scoperto applicazioni vulnerabili di altri produttori di tecnologia come Apple, Twitter, Tesla e [e] Cloudflare, tra gli altri. Mentre parliamo, il settore sta ancora esplorando la vasta superficie di attacco e rischia questa vulnerabilità."
Fuoco nel buco
La vulnerabilità tracciata come CVE-2021-44228 e denominata Log4Shell, ha il punteggio di gravità più alto di 10 nel sistema di punteggio di vulnerabilità comune (CVSS).
GreyNoise, che analizza il traffico Internet per raccogliere segnali di sicurezza degni di nota, ha osservato per la prima volta l'attività per questa vulnerabilità il 9 dicembre 2021. Fu allora che iniziarono ad apparire exploit proof-of-concept (PoC) armati, portando a un rapido aumento della scansione e dello sfruttamento pubblico il 10 dicembre 2021 e durante il fine settimana.
Log4j è fortemente integrato in un'ampia serie di framework DevOps e sistemi IT aziendali e in software per utenti finali e applicazioni cloud popolari.
Spiegando la gravità della vulnerabilità, Anirudh Batra, analista di minacce presso CloudSEK, dice a Lifewire via e-mail che un attore di minacce potrebbe sfruttarla per eseguire codice su un server remoto.
"Questo ha reso vulnerabili anche giochi popolari come Minecraft. Un utente malintenzionato può sfruttarlo semplicemente pubblicando un payload nella chat. Non solo Minecraft, ma anche altri servizi popolari come iCloud [e] Steam sono vulnerabili, " Batra ha spiegato, aggiungendo che "attivare la vulnerabilità in un iPhone è semplice come cambiare il nome del dispositivo."
Punta dell'iceberg
La società di sicurezza informatica Tenable suggerisce che, poiché Log4j è incluso in numerose applicazioni Web ed è utilizzato da una varietà di servizi cloud, l'intera portata della vulnerabilità non sarà nota per un po' di tempo.
L'azienda punta a un repository GitHub che tiene traccia dei servizi interessati, che al momento della scrittura elenca circa tre dozzine di produttori e servizi, inclusi quelli popolari come Google, LinkedIn, Webex, Blender e altri menzionati in precedenza.
Mentre parliamo, il settore sta ancora esplorando la vasta superficie di attacco e rischia questa vulnerabilità.
Fino ad ora, la stragrande maggioranza delle attività è stata scansionata, ma sono state osservate anche attività di sfruttamento e post-sfruttamento.
"Microsoft ha osservato attività tra cui l'installazione di minatori di monete, Cob alt Strike per consentire il furto di credenziali e il movimento laterale e l'esfiltrazione di dati da sistemi compromessi", scrive il Microsoft Threat Intelligence Center.
Attacca i portelli
Non sorprende, quindi, che a causa della facilità di sfruttamento e della prevalenza di Log4j, Andrew Morris, fondatore e CEO di GreyNoise, dica a Lifewire che crede che l'attività ostile continuerà ad aumentare nei prossimi giorni.
La buona notizia, tuttavia, è che Apache, gli sviluppatori della libreria vulnerabile, ha rilasciato una patch per neutralizzare gli exploit. Ma ora spetta ai singoli produttori di software aggiornare le proprie versioni per proteggere i propri clienti.
Kunal Anand, CTO della società di sicurezza informatica Imperva, dice a Lifewire via e-mail che mentre la maggior parte della campagna contraddittoria che sfrutta la vulnerabilità è attualmente diretta agli utenti aziendali, gli utenti finali devono rimanere vigili e assicurarsi di aggiornare il software interessato non appena le patch saranno disponibili.
Il sentimento è stato ripreso da Jen Easterly, Direttore della Cybersecurity and Infrastructure Security Agency (CISA).
"Gli utenti finali faranno affidamento sui loro fornitori e la community dei fornitori deve immediatamente identificare, mitigare e correggere l'ampia gamma di prodotti che utilizzano questo software. I fornitori dovrebbero anche comunicare con i loro clienti per garantire che gli utenti finali sappiano che il loro prodotto contiene questa vulnerabilità e dovrebbe dare la priorità agli aggiornamenti software ", ha affermato Easterly tramite una dichiarazione.